Den første utgivelsen av den nye hovedgrenen til nginx 1.21.0 har blitt presentert, der utviklingen av nye funksjoner vil fortsette. Samtidig er det utarbeidet en korrigerende utgivelse parallelt med den støttede stabile grenen 1.20.1, som kun introduserer endringer knyttet til eliminering av alvorlige feil og sårbarheter. Neste år vil det med utgangspunkt i hovedgrenen 1.21.x dannes en stabil gren 1.22.
De nye versjonene fikser en sårbarhet (CVE-2021-23017) i koden for å løse vertsnavn i DNS, som kan føre til krasj eller potensielt utføring av angriperkode. Problemet manifesterer seg i behandlingen av visse DNS-serversvar som resulterer i en bufferoverflyt på én byte. Sårbarheten vises bare når den er aktivert i DNS-resolver-innstillingene ved å bruke "resolver"-direktivet. For å utføre et angrep må en angriper være i stand til å forfalske UDP-pakker fra DNS-serveren eller få kontroll over DNS-serveren. Sårbarheten har dukket opp siden utgivelsen av nginx 0.6.18. En patch kan brukes til å fikse problemet i eldre utgivelser.
Ikke-sikkerhetsendringer i nginx 1.21.0:
- Variabel støtte er lagt til i direktivene "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" og "uwsgi_ssl_certificate_key".
- E-post proxy-modulen har lagt til støtte for "pipelining" for å sende flere POP3- eller IMAP-forespørsler i en enkelt tilkobling, og også lagt til et nytt direktiv "max_errors", som definerer det maksimale antallet protokollfeil som tilkoblingen vil bli stengt etter.
- Lagt til en "fastopen"-parameter til strømmodulen, som aktiverer "TCP Fast Open"-modus for lyttekontakter.
- Problemer med å unnslippe spesialtegn under automatiske omdirigeringer ved å legge til en skråstrek på slutten er løst.
- Problemet med å lukke tilkoblinger til klienter ved bruk av SMTP-pipelining er løst.
Kilde: opennet.ru